|
MPLS VPN: Cisco & Juniper together Date:2003.10.22 Keywords: MPLS VPN Juniper Auto-export Overlay source route CLI ATM LDP 最近做了个用Cisco 和 Juniper 路由器做PE的MPLS VPN实验。实验中R1 (Cisco)和R2 (Juniper)通过ATM 骨干互联, P-Network使用ISIS作为IGP协议,R2作为MP-BGP的路由反射器。Juniper 与 Cisco 在端口互联和IGP、BGP路由协议互操作上感觉很好,没有碰到什么问题。 实验中使用loopback 端口来模拟VPN用户网络。和cisco的概念不一样,Juniper的Loopback 端口只有一个,但可以划分子端口(在使用MPLS VPN时),只能使用/32的地址。 可能熟悉Juniper 命令行接口的朋友比较少,可以看看:Juniper CLI简介 详细配置:配置 几点说明: 1.Cisco 默认使用TDP标签分发协议,要和其他厂商互联,需指定使用LDP标签分发协议。不管是TDP还是LDP,都需要启用CEF来支持。 2.如果VPN Site 1 要和Site 2 及Site 3 互通,但是要求Site 2 和Site 3 不能互通时,使用VPN Overlay功能。 cisco 的配置方法简单明了: ip vrf site1 ro im 1:2 ro im 1:3 ro ex 1:1 ip vrf site2 ro im 1:1 ro ex 1:2 ip vrf site3 ro im 1:1 ro ex 1:3 Juniper的配置方法:首先要给route target 命名, 然后在策略policy-statement中引用,最后指定routing-instance使用指定的策略。除此之外Juniper 要启用routing-instance的auto-export 特性,否则site1的在该PE上的直连路由不能导入到同一PE的另一个site中。 3.源路由对有VPN Overlay 的环境来说是一种威胁。如果VPN Site 1 能够和Site 2 及Site 3 互通,但是策略要求Site 2 和Site 3 不能互通,Site 2 的用户有可能通过源路由技术经Site 1 到达 Site 3。 no ip source-route Juniper 路由器禁止源路由配置命令:
chassis {
no-source-route;
}
4.PE接CE端口问题: 根据Juniper公司工程师介绍,由于Juniper 的主要用户为ISP, 所以设计的时候禁止用户Ping PE的端口,以增强P-network的安全性,该特性不能被关闭。 在实验中,我们首先发现,在PE上ping 不通某些直连的地址,尝试过多种处理方法之后,以下这种方法有较好的效果,但系统必须要配置有TUNNEL硬件板卡。
interfaces {
vt-0/3/0 {
unit 200 {
family inet;
family mpls;
}
unit 300 {
family inet;
family mpls;
}
}
经过这样处理之后,PE设备ping 不在同一台PE下的地址时正常了。但当两个VPN Site都接在同一个PE下时,测试仍不正常: 所以该问题尚未完全解决。
欢迎来信讨论。
|